Habe Lovesan-FixBlast findets nicht !?

Dieses Thema im Forum "Sicherheit" wurde erstellt von Dronkitmaster, 26. August 2003.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. Dronkitmaster

    Dronkitmaster ROM

    Registriert seit:
    26. August 2003
    Beiträge:
    2
    Ich befinde mich im moment im Zustand annähernd völliger Verzweiflung...

    auf meinem PC ist relativ zweifellos der Blaster drauf: die Berühmte Meldung, dass der PC in 1 minute heruntergefahren wird...außerdem die auch typischen Probleme mit Kopieren/Einfügen...

    Aber: alle gängigen Mittel dagegen, haben noch nichts bewirkt...Windows Patch kann ja nur vor einem erneuten Angriff schützen, FixBlast sagt mir nur, dass sich der wurm nicht auf meinem PC befindet

    Ich konnte das Problem, wie so viele Andere auch bei der Datei svchost.exe feststellen, wenn ich nämlich diesen Prozess beende erscheint unmittelbar danach, egal ob ich ins Internet will, oder nicht, die Meldung, der PC würde runtergefahren...
    Bevor Svchost.exe beendet ist spricht mein Smartsurfer überhaupt nicht mehr an, danach konnte ich gestern an meinem PC (ich bin jetzt an einem 98-Rechner..) immerhin 2 Stunden im Internet surfen, mußte halt nur alle 20 min. den Weg über cmd - shutdown -a gehen....

    Kann mir irgendjemand helfen, wie ich jetzt vorgehen soll...AntiVir findet auch nix, die Symptome wie beim Blaster, sogar ein PC-Profi konnte mit seiner Methode nichts ausrichten, nachdem er im Büro von 5 Rechnern innerhalb von 30 Minuten den Virus runter hatte....

    HILFE!
     
  2. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    @dronkitmaster

    Es könnte sein, dass der Wurm tatsächlich nicht auf deinem Rechner ist und dass du dir nur die Probleme eingehandelt hast, weil du die svchost.exe beendet hast, die zentrale Dienste startet. Überprüfe doch mal den Status deiner Dienste und kontrolliere, ob sie aktiviert sind (ich würde testweise mal alle aktivieren).Wenn z.B. der RPC-Dienst nicht mehr läuft, dann ist klar, dass das System nicht mehr richtig funktioniert.
     
  3. Gast

    Gast Guest

    Hallo!

    Hast du denn den Patch noch nicht eingespielt? Die von dir geschilderten Symptome sprechen eher dafür, dass die Installation des Wurmes fehlschlug - das heißt, er kann nicht gefunden werden, da er sich gar nicht auf dem PC befindet.

    Zudem sollte natürlich auch das aktuellste Service-Pack für dein OS installiert sein.
     
  4. Gast

    Gast Guest

    IRC Internet Relay Chat...eine Spielart des Instant Messagings
     
  5. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo Nico, Steele und Nevoc,

    nochmals besten Dank für die Mühe, die Ihr Euch mit mir macht!!

    Ich habe sicher durch Euch etwas gelernt und bin auch künftig nicht zu bequem, um einen Fisch zu fangen Schnüre auszulegen.

    Nicos Frage nach Tauschbörsen kann ich verneinen, es sei denn,
    dass Ebay auch dazu zu rechnen ist. Hier tummele ich mich reichlich in Sachen DVD und Bordeauxwein.

    Was ist irc??

    Ich muß mal wieder festellen: Ich weiß, dass ich nichts weiß!

    Gruß

    D.W.
     
  6. nico4u

    nico4u Byte

    Registriert seit:
    5. Mai 2003
    Beiträge:
    27
    hallo jabugo,

    so ist es nun auch nicht. die guten und großen viren labs stellen in der regel binnen 8 stunden nach dem ersten auftreten die signaturen online. für uns in europa ist das eigentlich ausreichend. wenn man sich die verbreitungsstatistiken ansieht, dann kommt die große virenwelle meistens aus asien oder nordamerika mit etlichen stunden verspätung bei uns an. sprich: wenn sich die malware bei uns massenweise ausbreitet, dann sind die signaturen schon erhältlich (manche haben natürlich immer pech, insbesondere, wenn sie viel kontakt nach nordamerika oder in den asiatischen raum haben). beim avk gibt es aber das von dir angesprochene problem, daß nur einmal die woche geupdated wird und nur in absoluten notfällen emergency updates kommen. daher sollte man das avk nicht nutzen, wenn man oft ins internet geht.

    der vergleich mit den online scans hinkt alleine schon deshalb, weil deren signaturen genauso aktuell oder inaktuell sind, wie beim dazugehörigen scanner. das pattern file des house calls ist identisch mit dem von pc cillin. der große vorteil ist aber beim online scan, daß sich der anwender nicht um eine regelmäßige aktualisierung kümmern muß.

    auf einen virenscanner würde ich aber nicht verzichten, weil du ohne ihn absolut keinen on - access schutz hättest (und der ist das wichtigste). vielleicht hattest du einfach nur pech mit deinen virenprogs.

    außerdem solltest du bedenken, daß es nicht immer nur top aktuelle malware ist, die deinen rechner bedroht. in dem fall war es zwar so, aber in den top 10 der verbreitungscharts sind auch noch alte kamellen wie der klez.h.

    grüße nico
     
  7. Gast

    Gast Guest

    Deine Schlussfolgerungen sind nur teilweise richtig.
    WENN man schon eine AV-Scanner installiert, sollte es der beste sein. Alle, was mit "NO" anfängt, fällt also schon mal weg.
    Wie du ja selbst sehr richtig erkannt hast, kann es aber immer wieder passieren, dass ein Signaturupdate ZU SPÄT kommt. Der Scanner erkennt nur das, was er erkennen KANN. Die Heuristik ist KEIN Rettungsring.
    Daher ist ein Virenscanner LETZTLICH NICHT ABSOLUT zuverlässig.
    Wesentlich wichtiger ist es, den Verstand zu gebrauchen und zu lernen, welchen Softwarequellen man vertrauen kann (fast keinen). Wer Mails öffnet (noch dazu mit unsicheren Mailprogrammen wie Outlook), die unangeforderte Anhänge enthalten, handelt grob fahrlässig und ist auch MIT Virenscanner nicht sicher. Es spielt dabei keine Rolle, ob die Mail von einem Bekannten kommt (zu kommen scheint) oder nicht.
     
  8. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo Nevok,

    meine Antivirenprogramme sind immer auf dem neustem Stand. Bei AVK erfolgt die Aktualisierung allerdings nur wöchentlich.

    Norton habe ich über T- Online. Wann und wie oft das aktualisiert wird, habe ich noch nicht geprüft.

    Aufgrund eines Hinweises von Steele benutze ich aber die zwei Programme nicht gleichzeitig.

    Die von mir beschriebene Infektion haben meine Programme jedenfalls nicht erkannt, obwohl die Malware nicht neu war.

    Ich arbeite mit 4 Rechnern. Mit 3 davon gehen wir nur ganz selten ins Internet. Antivirenprogramme kommen da bisher nicht zum Einsatz.

    Wenn ich hier im Forum und auf den Seiten einiger Unis erfahre,
    dass völlig neue Viren von den entsprechenden Softwarefirmen erst Tage später erkannt werden und die Updates zur Bekämpfung ebenfalls erst Tage später zur Verfügung stehen, kann ich mir weiter Investitionen in Antivirenprogramme ersparen und statt dessen kostenlose Scanns über das Internet machen.

    Oder??

    Besten Dank für Eure bereits erfolgten Hinweise und Tips.
     
  9. nico4u

    nico4u Byte

    Registriert seit:
    5. Mai 2003
    Beiträge:
    27
    hallo jabugo,

    ich würde jetzt auch mal auf inaktuelle signaturen tippen. der sdbot.m wurde erst am 28. august entdeckt. das könnte passen. möglich wäre aber auch, daß norton das avk an einem reibungslosen betrieb hindert und selber den sdbot.m gar nicht erkennt (wäre nicht das erste mal). die firewall hat auf jeden fall nichts mit der sache zu tun.

    auf jeden fall sollte man eh jeden tag auf updates prüfen.

    zu den beiden scannern: das anti viren kit ist einer der besten scanner, weil es auf der kaspersky und rav engine beruht. leider gibt es aber zu selten signaturupdates. zu norton hab ich ja meine meinung schon geschrieben.

    das solltest du auf jeden fall lassen, da du keinen on - access schutz (scanner aller datenbewegungen) hättest. wo wir schon beim thema sind: läßt du etwa beide scanner (oder besser deren wächter module) gleichzeitig laufen? wenn ja, dann kann das zum super gau führen. es darf immer nur ein on - access scanner gleichzeitig laufen. das könnte auch die ursache für das nicht erkennen gewesen sein.

    hast du eine tauschbörse laufen oder bist du im irc aktiv? wahrscheinlich liegt da der hund begraben.

    grüße nico

    ps: wenn du sogar geld für zwei av progs ausgiebst, dann hole dir das nächste mal besser kaspersky 4.5 oder was dann halt von denen aktuell ist. mit norton betrügt man sich nur selbst und das avk ist gut, hat aber leider keine täglichen signaturupdates in der 40,00 euro version. mach dich aber darauf gefasst, daß die deinstallation von norton noch eine manuelle registry reinigung erfordert.
     
  10. Gast

    Gast Guest

    @ Nevok:
    Malware ist der Oberbegriff für jegliche Art schädlicher Software, also VIREN, Würmer, Trojanerserver usw... Dass AntiVir oder NAV nicht nach Malware scannen, ist also falsch.
     
  11. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo Nico,

    ich habe alle Schritte bezüglich Registry befolgt. Der abschließende Scann mit Micro verlief ohne Befundmeldung.

    Ich werde jetzt erst einmal meine anderen 3 Rechner mit Micro prüfen.

    Bleibt noch die Frage, warum haben AVK und Norton-AV diese Malware nicht gefunden und zusammen mit der Norton Firewall nicht verhindert, dass mein Rechner infiziert wurde.

    Dubiose Mails habe ich nicht geöffnet und Anhäge erst recht nicht.

    Meine Schlußfolgerungen laufen darauf hinaus, alles zu deinstallieren, zwei mal in der Woche Antivirenscanns aus dem Internet zu machen und basta!!

    Gruß

    D.W.
     
  12. nico4u

    nico4u Byte

    Registriert seit:
    5. Mai 2003
    Beiträge:
    27
    hi jabugo,

    in der regel heißt es das. allerdings muß die registry oftmals noch 'per hand' gesäubert werden. dies ist aber einfach (siehe anleitung). wenn der backdoor noch nicht aktiv war (was ich vermute, da er im aktiven zustand wahrscheinlich nicht hätte gelöscht werden können, da der prozess von windows geschützt worden wäre), dann entfällt logischerweise auch dies. mußt du einfach mal nachschauen.

    sollte er aber aktiv gewesen sein, dann mußt du unbedingt alle passwörter die du gespeichert oder verwendet hast und sensibelen daten auf dem rechner ändern.

    ich würde dir noch einen abschließenden scan (selbst wenn es lange dauert) nach einem kaltstart des rechners empfehlen. dann siehst du ob der backdoor wirklich entfernt wurde.

    grüße nico
     
  13. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo Mico,

    danke für die schnelle Antwort.

    Noch eine Frage: Bedeutet die Meldung von Trend Mico "gesäubert", dass damit die Malware tatsächlich entfernt wurde?

    Gruß

    D.W.
     
  14. nico4u

    nico4u Byte

    Registriert seit:
    5. Mai 2003
    Beiträge:
    27
    hallo jabugo,

    kann es sein, daß du vielleicht den bkdr_sdbot.m (also nur mit einem o meinst)?

    wenn ja, dann lies dir mal folgende beschreibung und entfernungsanleitung durch ( hier bitte klicken ).

    falls sie dir nicht weiterhilft oder du probleme mit englisch haben solltest, dann meld dich einfach wieder.

    grüße nico
     
  15. nico4u

    nico4u Byte

    Registriert seit:
    5. Mai 2003
    Beiträge:
    27
    hallo franzkat,

    ich habe die pc welt jetzt seit 1995 abonniert und mir ist in diesem zeitraum so einiges aufgefallen, mit dem ich nicht immer konform gehen kann. grundsätzlich so viel: ich bin mit der pc welt im ganzen zufrieden, sonst hätte ich sie nicht über so einen langen zeitraum abonniert gehabt. leider hat aber imo das gesamtniveau in dem zeitraum, in dem ich diese zeitung lese, nachgelassen. vielleicht liegt das aber auch daran, daß sich mitlerweile eine breitere masse für computer interessiert und diese ja schließlich auch angesprochen werden soll. vielleicht ist das niveau von vor neun jahren auch nur in meiner erinnerung höher und das reale level ist geblieben.

    zu symantec als werbepartner: einmal werden sie eine nicht unerhebliche einnahmequelle sein, daß sie aber durchschnittlich viel werbung schalten würden (und da hast du vollkommen recht) ist mir auch noch nicht aufgefallen. um so mehr verwundert es mich aber, daß die pc welt nicht explizit sagt: "hallo leser, norton war mal gut, lebt aber momentan nur noch von seinem ruf. außerdem gibt es oftmals starke probleme bei der deinstallation, weil die registry zugemüllt wird und so andere av progs an deren funktionsfähigkeit hindern kann. kauft euch lieber kaspersky oder das avk für den selben preis oder günstiger." das wäre für mich eine usergerechte beratung. stattdessen hört man sätze wie: "virenwächter und scanner fanden alle itw viren. im test mit den zoo viren gehörte nav zur spitzengruppe..." <aus pc welt extra 3/2003 seite 40>. selbst wenn dann noch die aussage relativiert wird, bleibt der eindruck, daß man mit norton nichts falsch machen kann. genau solche spitzen fallen mir oft auf.

    nachmal zur klarstellung: ich kann nichts beweisen noch unterstelle ich irgendetwas den redakteuren, sondern wunder mich nur, warum ein fachmagazin nicht deutlichere worte findet und etwaige probleme nicht offener anspricht. desweiteren (und das meine ich jetzt ganz allgemein) ist es in der printmedien branche gang und gebe den werbepartner ab einer gewissen größe in gewisser weise entgegenzukommen. bitte glaube mir das jetzt einfach, da ich keine genaueren beispiele geben darf (die sich allerdings nicht auf die pc welt noch auf eine schwesterpublikationen derer beziehen würden).

    ich glaube du hast damit eher ein gegenargument geliefert, da die pc welt sicherlich nicht gerne diese einschränkungen hingenommen hat. persönlich würde ich nach so einer erfahrung solchen problemen aus dem weg gehen und nicht erneut mit einer anderen firma provozieren. schließlich möchte man ja geld verdienen und sich nicht das wasser abgraben. dies war jetzt für mich gesprochen, also bitte nicht auf die pc welt analogisieren.

    da hast du zweifelsfrei recht. ich hätte meine vermutung anders formulieren sollen. andererseits hoffe ich auch, daß mein artikel jetzt zum nachdenken anregt und keine abblock reaktion hervorruft wie: mit dir hat es eh keinen sinn zu diskutieren...

    grüße nico

    edit: einmal rechtschreibung und einmal das letzte zitat geändert, da ich eine falsche passage eingefügt hatte.
     
  16. jabugo

    jabugo Kbyte

    Registriert seit:
    28. August 2003
    Beiträge:
    177
    Hallo,

    obwohl ich Nortonantivirus und AVK benutze, die getrennt von einander nach einer Prüfung meldeten, dass alles OK ist, habe ich den Hinweis von Nico auf Trend Micro befolgt und damit einen weiteren Test gemacht.

    Es wurde gemeldet: Malware gefunden und gesäubert.
    BKDR_SDBOOT.M.

    Kann mir jemand etwas dazu sagen?

    Gruß
    DW.
     
  17. Plinius

    Plinius Viertel Gigabyte

    Registriert seit:
    18. Oktober 2001
    Beiträge:
    2.811
    Dem Beitrag von Franz ist nichts hinzuzufügen.
     
  18. franzkat

    franzkat CD-R 80

    Registriert seit:
    16. Juni 2002
    Beiträge:
    9.246
    >(selbst wenn die pc welt ihren werbepartner öfters viel zu gut darstellt ).

    Kannst du diese Behauptung in irgendeiner Form belegen ?Inwiefern ist Symantec in einer besonderen Weise Werbepartner der PC-Welt, denn viele Software-Firmen inserieren in der PC-Welt . Ich lese diese Zeitschrift seit 5 Jahren, und mir ist eine besondere Werbeposition Symantecs noch nie aufgefallen.Unabhängig von der Frage nach der Qualität von NAV, ist die Unterstellung, die Redakteure der PC-Welt würden Tests einseitig ausfallen lassen, weil Werbepartner sonst abspringen könnten, eine starke Unterstellung, was die persönliche Integrität der Redakteure anbetrifft. Ich kann mich an Artikel der PC-Welt erinnern, wo diese sich mutig mit dem Branchenriesen Microsoft angelegt hat und von diesem dann in mancherlei Hinsicht boykottiert wurde.Ich finde, das spricht dann doch eher dagegen, dass man dem dazu im Vergleich weniger einflußreichen Symantec solche Zugeständnisse macht.
    Schlussfolgerung : Mit nicht beweisbaren und nicht widerlegbaren Totschlag-Argumenten sollte man sich eher zurückhalten.
     
  19. nico4u

    nico4u Byte

    Registriert seit:
    5. Mai 2003
    Beiträge:
    27
    hi @ all,

    warum formatiert ihr denn immer alle so schnell??? das formatieren an sich hat natürlich den blaster wurm (wenn er es denn überhaupt war) entfernt.

    da der neu aufgesetzte rechner aber noch jungfräulich und somit nicht gepatched ist, kann der wurm sofort bei der nächsten einwahl ins netzt wieder auf den rechner kommen und dies tut er auch. als erstes mußt du dir den ms patch raufspielen. etwaige shutdown probleme über start/ausführen und der eingabe "shutdown -a" (ohne anführungszeichen und mit leerzeichen) beheben.

    danach entfernst du die überreste von ihm am besten manuell.

    ich hab auf meiner seite ne ausführliche anleitung (bitte alle varianten durchchecken):

    www.nico4u.eu.tc | sicherheit | faqs | entfernung lovsan, msblast, blaster...

    danach wäre ein kompletter malware check angebracht, da durch die sicherheitslücke 'rpc dcom buffer overflow' auch noch ne hand voll anderer schädlinge außer blaster auf das system gekommen sein können. installiere dir entweder die kaspersky trail (hier bitte klicken ) die super gut scannt, aber leider nicht löscht oder mache einen online scan bei trend micro (hier bitte klicken ).

    falls die noch was finden, dann kannst du das hier ja posten. ansonsten mache dann erstmal alle wichtigen windows und ggf. office updates (das wird zwar ne menge sein, wer aber gleich formatiert, der muß da halt durch).

    wenn du das alles hast, dann brauchst du nur noch nen vernüftigen virenscanner für die zukunft: kaspersky 4.5 wäre da sehr zu empfehlen. von norton sollte man lieber die finger lassen (selbst wenn die pc welt ihren werbepartner öfters viel zu gut darstellt :D ). mc afee würd ich auch nicht empfehlen. er hat zwar grade erst mit super erkennungsraten geglänzt ist aber relativ leicht auszutricksen.

    grüße fürs erste *nico*
     
  20. gods_slave

    gods_slave ROM

    Registriert seit:
    7. September 2003
    Beiträge:
    3
    selbst formatieren hat bei mir irgendwie nix gebracht. ist bei mir nämlich genauso wie du es beschrieben hast!
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen